天琊+SRENG 手工实战V病毒

显示全部楼层 · 发表于 2009-4-28 13:47:07

本文为tawny2008（小信）测试发表，转载请注明

本来想选一个典型并多行为的病毒来给天琊试验的，不过最近挂马猖狂，新病毒很多，放毒者特意试验卡饭会员电脑装备的防护能力，在多个帖子中种植了多个木马，其中很多是高质量的，过主流杀软红伞和卡巴，下面就是其中一只，那么正好活动下筋骨，用天琊+SREng手工清毒。

一、病毒的资料：

病毒样本：挂卡饭论坛26日本体，地址http://bbs.kafan.cn/thread-468996-1-2.html

文件名称 :       v.exe
文件大小 :       39936 byte
文件类型 :       PE32 executable for MS Windows (GUI) Intel 80386 32-bit
MD5 :       b0410522cc0a64245d3868387e5e9f34
SHA1 :       eb7821c848ceb0be16da24881124d88ea1d2f18d

多引擎28日扫描结果：53%的杀软(20/38)报告发现病毒

软件名称
引擎版本病毒库版本病毒库时间扫描结果时间
a-squared 4.0.0.32 20090428043149 2009-04-28 Trojan-PWS.Win32.Agent.jp!IK
16.348
AntiVir 7.9.0.156 7.1.3.118 2009-04-27 TR/Dldr.Geral.EU
1.989
Arcavir 2009 200904271228 2009-04-27 -
0.108
Authentium 5.1.1 200904271910 2009-04-27 W32/Rootkit-PX!Eldorado (Possible)
1.194
AVAST! 3.0.1 090427-0 2009-04-27 -
0.949
AVG 7.5.52.442 270.12.5/2083 2009-04-27 -
3.261
BitDefender 7.81008.2850457 7.25055 2009-04-28 Trojan.KillAV.PT
3.005
CA (VET) 9.0.0.143 31.6.6475 2009-04-27 -
40.128
ClamAV 0.95 9296 2009-04-28 -
0.033
Comodo 3.8 1138 2009-04-27 -
1.697
CP Secure 1.1.0.715 2009.04.28 2009-04-28 -
8.712
Dr.Web 4.44.0.9170 2009.04.28 2009-04-28 -
4.457
F-Prot 4.4.4.56 20090427 2009-04-27 W32/Rootkit-PX!Eldorado (generic, not disinfectable)
1.135
F-Secure 5.51.6100 2009.04.28.01 2009-04-28 Trojan-Downloader.Win32.Geral.et [AVP]
5.502
GData 19.4899/19.312 20090428 2009-04-28 Trojan-Downloader.Win32.Geral.et [Engine:A]
7.360
Ikarus T3.1.01.49 2009.04.28.72643 2009-04-28 Trojan-PWS.Win32.Agent.jp
2.762
Microsoft 1.4602 2009.04.27 2009-04-27 Trojan:Win32/Dogrobot.F
24.551
mks_vir 2.01 2009.04.28 2009-04-28 -
2.780
Norman 6.00.06 6.00.00 2009-04-27 -
10.011
nProtect 20090427.02 3502298 2009-04-27 Trojan/W32.KillAV.39936
38.121
Quick Heal 10.00 2009.04.25 2009-04-25 -
4.037
Sophos 2.85.0 4.40 2009-04-28 Mal/PWS-Fam
3.100
Sunbelt 5111 5111 2009-04-24 -
18.117
The Hacker 6.3.4.1 v00315 2009-04-27 Trojan/Downloader.Geral.et
0.966
VBA32 3.12.10.3 20090427.1914 2009-04-27 Trojan-Downloader.Win32.Geral.et
1.849
ViRobot 20090427 2009.04.27 2009-04-27 -
1.117
VirusBuster 4.5.11.10 10.105.8/1307123 2009-04-27 -
1.850
卡巴斯基 5.5.10 2009.04.28 2009-04-28 Trojan-Downloader.Win32.Geral.et
0.051
安博士V3 2009.04.28.01 2009.04.28 2009-04-28 -
2.743
安天 2.0.18 20090427.2320212 2009-04-27 -
0.138
江民杀毒 11.0.706 2009.04.27 2009-04-27 -
5.013
熊猫卫士 9.05.01 2009.04.25 2009-04-25 -
4.101
瑞星 20.0 21.27.10.00 2009-04-28 Trojan.Win32.KillAV.bau
1.132
赛门铁克 1.3.0.24 20090427.002 2009-04-27 Infostealer.Gampass
0.080
趋势科技 8.700-1004 5.990.02 2009-04-27 TROJ_GERAL.I
0.022
迈克菲 5.3.00 5598 2009-04-27 Generic Dropper.q
2.892
金山毒霸 2009.2.5.15 2009.4.28.7 2009-04-28 Win32.TrojDownloader.Edog.dd.121352
2.686
飞塔 2.81-3.117 10.329 2009-04-27 PossibleThreat
0.266

看来还有一半杀软还杀不了此病毒，有清理价值。

本帖导读：

1楼：病毒资料。
2楼：病毒运行后的SREng的初期检测。
3楼：天琊清理病毒过程。

附：病毒样本V

[ 本帖最后由 tawny2008 于 2009-4-28 18:04 编辑 ]

显示全部楼层 · 发表于 2009-4-28 14:03:02

二、病毒运行后的检测。
由于天琊并没有自带启动项目和服务的检测，所以要想快速清理病毒只能配合sreng使用：

01运行样本。
小V病毒：

02样本消失。
过了不久样本消失：

03 出现未知进程。
      进程已经出现：

04 很多进程。
      未知进程是越来越多：

05 等待病毒运行完全。
      我一直在等病毒是否会关闭任务管理器，看来没有这动作：

06 运行天琊。
      用天琊看看：

07 运行成功。
      运行成功，是最新版本：

08 慎用此操作。
      对于天琊的强制删除，要很慎重，此操作不可恢复：

09 结束进程。
      一般采用结束进程：

10 记下路径。
      由于没有记录功能，所以结束进程前最好手工记下病毒路径：

11 全结束了。
      把病毒进程全结束了，排除干扰：

12 用sreng扫描。
      sreng扫描挺全面的，用这个弥补一下天琊缺少的启动检测功能：

13 sreng运行正常。
      运行很正常看来没挟持SRENG：

14 sreng保存日志。
      SRENG异常日志如下，有了这个报告，便可以轻松用天琊除毒了：
      日志的大致情况是：基本都是无进程木马，有一个自启动服务，一个驱动加载，大多数是DLL注入型病毒，现在都是流行无进程。

-----------------------------------------------------------------我是分隔线-------------------------------------------------------------------
2009-04-28,01:42:54
System Repair Engineer 2.7.0.1210
Smallfrogs (http://www.KZTechs.com)
Windows XP Professional Service Pack 3 (Build 2600) - 管理权限用户 - 完整功能
以下内容被选中：
所有的启动项目（包括注册表、启动文件夹、服务等）
浏览器加载项
正在运行的进程（包括进程模块信息）
文件关联
Winsock 提供者
Autorun.inf
HOSTS 文件
进程特权扫描
计划任务
API HOOK
隐藏进程

启动项目
注册表
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run]
<RsTray><C:\WINDOWS\system32\scvhost.exe>  []
[HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows]
<AppInit_DLLs><C:\WINDOWS\System32\12days.dll>  []
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\ShellExecuteHooks]
<{669029EE-81FB-496F-9AC4-FE838B16F231}><C:\WINDOWS\system32\erdznUfbK0ZF.dll>  []
<{4E5CFE74-700B-4A8B-B0BF-A6B47D896C18}><C:\WINDOWS\system32\GrTZqH5SnRhAt.dll>  []
<{56BC86C7-0692-4F94-A2C1-6CF1DBF8096C}><C:\WINDOWS\system32\56BC86C7.dll>  []
<{028A997C-4262-4107-BD46-2ABBC6143E8C}><C:\WINDOWS\system32\efc0c52cc1.dll>  []
<{AA4CD878-B510-4508-83EB-DE968E358D15}><C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll>  []
<{08223B03-1B38-4A33-A83A-A4D3CC1D6E4E}><C:\WINDOWS\system32\08223B03.dll>  []
<{7A93621D-BFFE-4EB1-AAE1-CD487F429840}><C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll>  []
<{FBFAD3A6-0B1E-4122-9C2B-92A4623875EC}><C:\WINDOWS\system32\v6yj3gxacYQU.dll>  []
<{A23CA53C-731F-4033-92E8-C1DFB4E71D34}><C:\WINDOWS\system32\JBn2ypqY23vWX.dll>  []
<{704C3595-DB85-40F6-A601-8D6F346907BD}><C:\WINDOWS\system32\704C3595.dll>  []
<{122B901E-493F-4AD9-BC69-7DE8C3E52FCC}><C:\WINDOWS\system32\122B901E.dll>  []
<{16E42559-9ED5-46FD-878E-DC5D42746BB5}><C:\WINDOWS\system32\peV7mS4gcukR.dll>  []
<{76B9BA7A-81D0-4979-8598-8471F2AB5186}><C:\WINDOWS\system32\76B9BA7A.dll>  []
<{0D267113-499A-4EEF-998D-C45731C1B313}><C:\WINDOWS\system32\VnTU2WAqUcZA6.dll>  []
<{93DA1E7D-7C46-4F90-8674-EC90511FCA72}><C:\WINDOWS\system32\CDuAUVkGy9.dll>  []
<{CCCA2FB9-2D5D-4481-8BFE-1CDDC458A3F4}><C:\WINDOWS\system32\CCCA2FB9.dll>  []
<{36AC68E6-0C26-4D39-B98E-54B49DAB6BAA}><C:\WINDOWS\system32\dhDhwS7fFW.dll>  []
<{737858A9-9AEA-4838-9B49-54DA731F7F37}><C:\WINDOWS\system32\BMsg6pdMD4ht.dll>  []
<{2EF0D734-21FD-4225-A1A2-BCD296182AAF}><C:\WINDOWS\system32\2EF0D734.dll>  []
<{C722AD57-35DA-4460-8353-328372F32AB2}><C:\WINDOWS\system32\ufQCU5.dll>  []
<{A5CA6C70-7185-4466-AB45-B1C34E7A37CA}><C:\WINDOWS\system32\ed78ab9.dll>  []
<{E4814792-EFA3-4C20-93D0-8B130A59F9A8}><C:\WINDOWS\system32\E4814792.dll>  []
<{A1A6BC2E-C6A1-43C1-8884-A31D772F42B8}><C:\WINDOWS\system32\A1A6BC2E.dll>  []
<{171565E3-F0BB-4FF0-9A42-C9406C79DB78}><C:\WINDOWS\system32\wF87W8XjgDW5Es6tuA.dll>  []
==================================
启动文件夹
N/A
==================================
服务
[szace / szace][Stopped/Auto Start]
  <C:\WINDOWS\system32\szace.exe><N/A>
==================================
驱动程序
[mtlrd / mtlrd][Running/Auto Start]
  <\??\C:\Documents and Settings\All Users\Application Data\Microsoft\Media Player\wmp\mtlrd.sys><N/A>

==================================
浏览器加载项
==================================
正在运行的进程
[PID: 1724 / tawny01][C:\WINDOWS\Explorer.EXE]  [(Verified) Microsoft Corporation, 6.00.2900.5512 (xpsp.080413-2105)]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\SysDir.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementzx.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\jxinit.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\xccs.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementwlwz.dll]  [N/A, ]
[C:\WINDOWS\system32\erdznUfbK0ZF.dll]  [N/A, ]
[C:\WINDOWS\system32\GrTZqH5SnRhAt.dll]  [N/A, ]
[C:\WINDOWS\system32\56BC86C7.dll]  [N/A, ]
[C:\WINDOWS\system32\efc0c52cc1.dll]  [N/A, ]
[C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
[C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll]  [N/A, ]
[C:\WINDOWS\system32\v6yj3gxacYQU.dll]  [N/A, ]
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
[C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
[C:\WINDOWS\system32\122B901E.dll]  [N/A, ]
[C:\WINDOWS\system32\peV7mS4gcukR.dll]  [N/A, ]
[C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
[C:\WINDOWS\system32\VnTU2WAqUcZA6.dll]  [N/A, ]
[C:\WINDOWS\system32\CDuAUVkGy9.dll]  [N/A, ]
[C:\WINDOWS\system32\CCCA2FB9.dll]  [N/A, ]
[C:\WINDOWS\system32\dhDhwS7fFW.dll]  [N/A, ]
[C:\WINDOWS\system32\BMsg6pdMD4ht.dll]  [N/A, ]
[C:\WINDOWS\system32\2EF0D734.dll]  [N/A, ]
[C:\WINDOWS\system32\ufQCU5.dll]  [N/A, ]
[C:\WINDOWS\system32\ed78ab9.dll]  [N/A, ]
[C:\WINDOWS\system32\E4814792.dll]  [N/A, ]
[C:\WINDOWS\system32\A1A6BC2E.dll]  [N/A, ]
[C:\WINDOWS\system32\wF87W8XjgDW5Es6tuA.dll]  [N/A, ]
[C:\WINDOWS\system32\dopdy.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\mtlrd.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll]  [N/A, ]
[PID: 1928 / tawny01][C:\Program Files\VMware\VMware Tools\VMwareTray.exe]  [VMware, Inc., 6.0.0 build-45731]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\SysDir.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementzx.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\xccs.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\jxinit.dat]  [N/A, ]
[C:\WINDOWS\system32\erdznUfbK0ZF.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementwlwz.dll]  [N/A, ]
[C:\WINDOWS\system32\56BC86C7.dll]  [N/A, ]
[C:\WINDOWS\system32\efc0c52cc1.dll]  [N/A, ]
[C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
[C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll]  [N/A, ]
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
[C:\WINDOWS\system32\v6yj3gxacYQU.dll]  [N/A, ]
[C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
[C:\WINDOWS\system32\peV7mS4gcukR.dll]  [N/A, ]
[C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
[C:\WINDOWS\system32\CCCA2FB9.dll]  [N/A, ]
[C:\WINDOWS\system32\BMsg6pdMD4ht.dll]  [N/A, ]
[C:\WINDOWS\system32\2EF0D734.dll]  [N/A, ]
[C:\WINDOWS\system32\A1A6BC2E.dll]  [N/A, ]
[PID: 1672 / tawny01][C:\Program Files\VMware\VMware Tools\VMwareUser.exe]  [VMware, Inc., 6.0.0 build-45731]
[C:\WINDOWS\system32\A1A6BC2E.dll]  [N/A, ]
[C:\WINDOWS\system32\2EF0D734.dll]  [N/A, ]
[C:\WINDOWS\system32\BMsg6pdMD4ht.dll]  [N/A, ]
[C:\WINDOWS\system32\CCCA2FB9.dll]  [N/A, ]
[C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
[C:\WINDOWS\system32\peV7mS4gcukR.dll]  [N/A, ]
[C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
[C:\WINDOWS\system32\v6yj3gxacYQU.dll]  [N/A, ]
[C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll]  [N/A, ]
[C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
[C:\WINDOWS\system32\efc0c52cc1.dll]  [N/A, ]
[C:\WINDOWS\system32\56BC86C7.dll]  [N/A, ]
[C:\WINDOWS\system32\erdznUfbK0ZF.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementwlwz.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\xccs.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\jxinit.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementzx.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\SysDir.dat]  [N/A, ]
[C:\WINDOWS\system32\mtlrd.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\dopdy.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll]  [N/A, ]
[PID: 2012 / tawny01][C:\WINDOWS\system32\ctfmon.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\SysDir.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementzx.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\jxinit.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\xccs.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementwlwz.dll]  [N/A, ]
[C:\WINDOWS\system32\erdznUfbK0ZF.dll]  [N/A, ]
[C:\WINDOWS\system32\56BC86C7.dll]  [N/A, ]
[C:\WINDOWS\system32\efc0c52cc1.dll]  [N/A, ]
[C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
[C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll]  [N/A, ]
[C:\WINDOWS\system32\v6yj3gxacYQU.dll]  [N/A, ]
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
[C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
[C:\WINDOWS\system32\peV7mS4gcukR.dll]  [N/A, ]
[C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
[C:\WINDOWS\system32\CCCA2FB9.dll]  [N/A, ]
[C:\WINDOWS\system32\BMsg6pdMD4ht.dll]  [N/A, ]
[C:\WINDOWS\system32\2EF0D734.dll]  [N/A, ]
[C:\WINDOWS\system32\A1A6BC2E.dll]  [N/A, ]
[PID: 1680 / tawny01][C:\WINDOWS\system32\conime.exe]  [(Verified) Microsoft Corporation, 5.1.2600.5512 (xpsp.080413-2105)]
[C:\WINDOWS\system32\dopdy.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\mtlrd.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\A1A6BC2E.dll]  [N/A, ]
[C:\WINDOWS\system32\2EF0D734.dll]  [N/A, ]
[C:\WINDOWS\system32\BMsg6pdMD4ht.dll]  [N/A, ]
[C:\WINDOWS\system32\CCCA2FB9.dll]  [N/A, ]
[C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
[C:\WINDOWS\system32\peV7mS4gcukR.dll]  [N/A, ]
[C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
[C:\WINDOWS\system32\v6yj3gxacYQU.dll]  [N/A, ]
[C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll]  [N/A, ]
[C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
[C:\WINDOWS\system32\efc0c52cc1.dll]  [N/A, ]
[C:\WINDOWS\system32\56BC86C7.dll]  [N/A, ]
[C:\WINDOWS\system32\erdznUfbK0ZF.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementwlwz.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\xccs.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\jxinit.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementzx.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\SysDir.dat]  [N/A, ]
[PID: 636 / tawny01][C:\sreng2\SRE5adef2a7.EXE]  [Smallfrogs Studio, 2.7.0.1210]
[C:\WINDOWS\system32\mtlrd.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\dopdy.dll]  [, 4.4.2.0]
[C:\WINDOWS\system32\A1A6BC2E.dll]  [N/A, ]
[C:\WINDOWS\system32\2EF0D734.dll]  [N/A, ]
[C:\WINDOWS\system32\BMsg6pdMD4ht.dll]  [N/A, ]
[C:\WINDOWS\system32\CCCA2FB9.dll]  [N/A, ]
[C:\WINDOWS\system32\76B9BA7A.dll]  [N/A, ]
[C:\WINDOWS\system32\peV7mS4gcukR.dll]  [N/A, ]
[C:\WINDOWS\system32\704C3595.dll]  [N/A, ]
[C:\WINDOWS\system32\JBn2ypqY23vWX.dll]  [N/A, ]
[C:\WINDOWS\system32\v6yj3gxacYQU.dll]  [N/A, ]
[C:\WINDOWS\system32\PkVyCX5kHnftC7BXjt.dll]  [N/A, ]
[C:\WINDOWS\system32\08223B03.dll]  [N/A, ]
[C:\WINDOWS\system32\efc0c52cc1.dll]  [N/A, ]
[C:\WINDOWS\system32\56BC86C7.dll]  [N/A, ]
[C:\WINDOWS\system32\erdznUfbK0ZF.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementwlwz.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\xccs.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\jxinit.dat]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\elementzx.dll]  [N/A, ]
[C:\DOCUME~1\TAWNY0~1.200\LOCALS~1\Temp\SysDir.dat]  [N/A, ]
[C:\WINDOWS\system32\Nj4gYd3rUbJ57.dll]  [N/A, ]
==================================
文件关联
==================================
Winsock 提供者
N/A
==================================
Autorun.inf
N/A
==================================
HOSTS 文件
127.0.0.1    localhost
==================================
进程特权扫描
==================================
计划任务
N/A
==================================
API HOOK
N/A
==================================
隐藏进程
N/A
==================================
-------------------------------------------------------------------我是分隔线------------------------------------------------------------------

附：原日志和筛选后的日志

[ 本帖最后由 tawny2008 于 2009-4-28 18:17 编辑 ]

显示全部楼层 · 发表于 2009-4-28 14:04:17

三、天琊清理全程。
清理过程配合了windows自带的搜索，基本可以算是单用：

01 打开天琊的文件模块。
天琊的文件管理删除能力是不错的：

02 发现许多同日期病毒。
可以按时间排列快速清理病毒（有几个不在SRENG日志中）：

03 CTRL+左键多选全删。
一次性多选一起删除：

04 有残留。
刷新后发现有顽固病毒：

05 干净了。
使用强制删除，删除能力不错：

06 windows目录。
清除完SRENG扫描的日志里面的病毒文件后，依然发现有其它病毒残留：

07 改用自带搜索。
由于天琊没有文件搜索功能，所以改用XP系统自带搜索：

08 设置好范围。
范围很重要，设置好后，基本可以查到很多病毒：

09 一些未被sreng扫描的病毒。
果然搜索出很多病毒残留：

10 删掉好了。
一次性全删除了：

11 drivers目录也有残留。
其它目录也有残留：

12 竟然创建了音乐目录。
这个强，竟然为我创建了音乐目录，删！

13 打开注册表。
用天琊清理注册表项目：

14 删除注册表项目。
根据SRENG扫描的日志全部删除就OK了：

15 只有一个键值。
这个地方和SRENG日志扫描情况不同，不过没关系把这个键值删除就可以了：

至此，这个病毒已经全部清理完毕了。

在这里有个让人误会的地方，清毒过程中我用了时间来排列快速清毒，造成大家可能会以为我是靠病毒创建的时间来判断是否是病毒。其实创建时间只是一个参考依据，实际清理病毒的过程我是以SRENG日志为依据清除病毒的，有可能有些没在SRENG日志中的病毒我没有清理掉，不过一个病毒要运行，就必须启动，不在列表的病毒全部不具有自启动功能或者附带启动功能，也就是很多文章中所说的病毒尸体，不具有病毒的活性（即不会对系统造成危害），其实这些病毒也就也一个正常的文本文件没什么区别了，都只是一个存放在硬盘的数据而已，完全可以不清理。所以对于SRENG日志中没有记录的病毒，大家也不必恐慌，都是死病毒而已，我后面的搜索清理，只是为了少许的洁癖。

[ 本帖最后由 tawny2008 于 2009-4-28 21:05 编辑 ]

显示全部楼层 · 发表于 2009-4-28 15:01:09

手工清理病毒总结：

天琊在此次清毒过程中的强悍没有表现出来，这个病毒过了那么多杀软的病毒也不过如此，希望以后会有更强的病毒让天琊表现一下真正的实力。对于这些杀软无法清除的病毒，也终于体现了辅助工具的重要作用。在清毒过程中也发现了天琊的一些小不足，例如没有启动项目和服务列表检测，注册表和文件模块中都没有搜索功能，只能配合其它工具使用，希望作者可以在正式版完善这些功能，让天琊可以真正独立起来，在此也非常感谢陈辉给我们带来这么强大的ARK工具，谢谢你们。

天琊下载地址：http://bbs.kafan.cn/thread-324497-1-1.html

天琊官方网站：www.superkill.cn

[ 本帖最后由 tawny2008 于 2009-4-28 18:12 编辑 ]

显示全部楼层 · 发表于 2009-4-28 15:20:12

第一个来支持小信，天琊正式版偶很期待

显示全部楼层 · 发表于 2009-4-28 15:26:18

对天琊作者提一个小小的建议
是否把进程中不正常项颜色标注或者提示“不正常”
新手也可一目了然
另外天琊真的不错。

[ 本帖最后由 solag 于 2009-4-28 15:28 编辑 ]

显示全部楼层 · 发表于 2009-4-28 15:27:52

信的解说蛮不错的通俗易懂啊呵呵
顶你

显示全部楼层 · 发表于 2009-4-28 15:50:28

向楼主学习。手动杀毒太爽了，收藏日后复习用

显示全部楼层 · 发表于 2009-4-28 15:58:50

刚上线就看到了，呵呵，支持小信~
这几天有点事，不经常来

显示全部楼层 · 发表于 2009-4-28 16:01:28

过来了，谢谢大家的支持，清毒过程晚上再稍微修饰下，帖子编辑得太匆忙了^_^

天琊+SRENG 手工实战V病毒

评分

评分

评分

评分